BJCA 數(shù)字簽名驗(yàn)證服務(wù)器白皮書201103

數(shù)字簽名驗(yàn)證服務(wù)器產(chǎn)品白皮書 二〇一一年三月北京數(shù)字證書認(rèn)證中心有限公司北京市海淀區(qū)北四環(huán)西路68號(hào)雙橋大廈15層TEL：86-10-58045600FAX：86-10-58045678郵政編碼：100080聲明一、本白皮書是數(shù)字簽名驗(yàn)證服務(wù)器（簡稱DSVS）的技術(shù)說明書。本資料版權(quán)歸北京數(shù)字證書認(rèn)證中心有限公司所有。白皮書中的任何部分未經(jīng)本公司許可，不得轉(zhuǎn)印、影印或復(fù)印。?2010北京數(shù)字證書認(rèn)證中心有限公司Allrightsreserved.二、本資料將定期更新，如欲獲取最新相關(guān)信息，請(qǐng)?jiān)L問北京數(shù)字證書認(rèn)證中心有限公司網(wǎng)站。三、您的寶貴意見和建議請(qǐng)發(fā)送至：北京數(shù)字證書認(rèn)證中心有限公司北京市海淀區(qū)北四環(huán)西路68號(hào)雙橋大廈15層（左岸工社）電話(TEL)真(FAX)政編碼：100080電子信箱：marketing@數(shù)字簽名驗(yàn)證服務(wù)器DSVS產(chǎn)品白皮書PAGEI北京數(shù)字證書認(rèn)證中心有限公司目錄1 產(chǎn)品概述 12 產(chǎn)品架構(gòu) 13 產(chǎn)品功能 24 產(chǎn)品部署與集成 25 產(chǎn)品規(guī)格 46 產(chǎn)品優(yōu)勢(shì) 47 產(chǎn)品資質(zhì) 58 應(yīng)用領(lǐng)域 5數(shù)字簽名驗(yàn)證服務(wù)器DSVS產(chǎn)品白皮書PAGE6/SECTIONPAGES6北京數(shù)字證書認(rèn)證中心有限公司產(chǎn)品概述數(shù)字簽名驗(yàn)證服務(wù)器(以下簡稱DSVS)是由北京數(shù)證書認(rèn)證中心自主研發(fā)，為應(yīng)用系統(tǒng)提供數(shù)字簽名及驗(yàn)證服務(wù)的一款多安全功能、高穩(wěn)定性、高性能，并且具備跨平臺(tái)、可擴(kuò)展和快速部署能力的軟硬件集成化安全設(shè)備。該產(chǎn)品可以廣泛應(yīng)用于網(wǎng)上審批、網(wǎng)上辦公、網(wǎng)上銀行、網(wǎng)上證券和網(wǎng)上支付等電子政務(wù)和電子商務(wù)活動(dòng)中，為業(yè)務(wù)系統(tǒng)提供安全保護(hù)。產(chǎn)品架構(gòu)數(shù)字簽名驗(yàn)證服務(wù)器主要包括簽名驗(yàn)證核心服務(wù)模塊和安全管理模塊。簽名驗(yàn)證核心服務(wù)通過應(yīng)用端部署的API，接收應(yīng)用端發(fā)送的簽名服務(wù)請(qǐng)求，并返回簽名或驗(yàn)證服務(wù)結(jié)果。安全管理以B/S方式提供，管理員可以通過WEB瀏覽器直接對(duì)各種證書服務(wù)和系統(tǒng)進(jìn)行集中管理和配置。圖1產(chǎn)品架構(gòu)圖產(chǎn)品功能數(shù)字簽名驗(yàn)證服務(wù)器可以為應(yīng)用服務(wù)器提供數(shù)據(jù)簽名、簽名驗(yàn)證、證書驗(yàn)證等多種安全功能，具體功能如下：應(yīng)用功能詳細(xì)說明身份認(rèn)證功能實(shí)現(xiàn)基于數(shù)字證書的身份認(rèn)證，支持不同CA的證書驗(yàn)證，提供CRL/OCSP等多種方式的證書有效性驗(yàn)證。數(shù)據(jù)簽名與簽名驗(yàn)證提供PKCS1/PKCS7attach/PKCS7detach/XMLSign等多種格式的數(shù)字簽名和數(shù)字簽名驗(yàn)證功能文件簽名與驗(yàn)證對(duì)文件提供數(shù)字簽名和數(shù)字簽名驗(yàn)證功能動(dòng)態(tài)黑名單功能可以自動(dòng)更新黑名單，采用動(dòng)態(tài)更新方式，無需重啟服務(wù)其他功能詳細(xì)說明系統(tǒng)備份恢復(fù)功能產(chǎn)品可以備份當(dāng)前系統(tǒng)所有配置，保證系統(tǒng)癱瘓時(shí)的快速恢復(fù)日志記錄和發(fā)送功能DSVS可以自行記錄日志，也可以將日志以SYSLOG的方式發(fā)送到指定服務(wù)器產(chǎn)品部署與集成DSVS部署在業(yè)務(wù)系統(tǒng)服務(wù)端安全域中，配置相互獨(dú)立的核心服務(wù)網(wǎng)絡(luò)接口和WEB管理服務(wù)網(wǎng)絡(luò)接口，分別用于簽名驗(yàn)證服務(wù)和后臺(tái)管理服務(wù)，可以有效避免外界攻擊。下圖為典型的產(chǎn)品部署網(wǎng)絡(luò)拓?fù)鋱D，DSVS可以同時(shí)為多個(gè)WEB應(yīng)用系統(tǒng)提供服務(wù)，如果采用雙機(jī)并行方式，簽名效率可以提升將近一倍。圖2典型部署區(qū)別于傳統(tǒng)的證書應(yīng)用中間件，數(shù)字簽名驗(yàn)證服務(wù)器將安全組件、密碼運(yùn)算庫統(tǒng)一封裝在硬件平臺(tái)內(nèi)，大幅降低了集成工作的復(fù)雜性，使產(chǎn)品具備了快速部署應(yīng)用的能力。DSVS實(shí)現(xiàn)安全應(yīng)用集成主要工作如下：BJCA提供產(chǎn)品和集成所需要的演示環(huán)境Demo、接口說明、測(cè)試證書等；根據(jù)業(yè)務(wù)需求，應(yīng)用系統(tǒng)開發(fā)商對(duì)相應(yīng)頁面進(jìn)行改造，調(diào)用對(duì)應(yīng)的安全組件接口，實(shí)現(xiàn)簽名驗(yàn)簽等功能。所涉及的改造工作主要體現(xiàn)在系統(tǒng)登錄、數(shù)據(jù)加密和數(shù)據(jù)簽名等常見應(yīng)用環(huán)節(jié)上。BJCA為應(yīng)用系統(tǒng)開發(fā)人員提供技術(shù)支持，協(xié)助完成系統(tǒng)的安全整合。應(yīng)用集成完成后，需要進(jìn)行應(yīng)用系統(tǒng)測(cè)試，確保系統(tǒng)集成數(shù)字簽名驗(yàn)證應(yīng)用功能的可用性和有效性。產(chǎn)品規(guī)格為滿足客戶不同的需求，數(shù)字簽名驗(yàn)證服務(wù)器分為DSVS2000(低端)、DSVS4000（高端）兩款款硬件型號(hào)：型號(hào)DSVS2000DSVS4000設(shè)備高度2U2U尺寸規(guī)格427x380x86mm447x500x86mm網(wǎng)絡(luò)接口2x1000M2x1000M電源指標(biāo)1個(gè)350W工控電源1個(gè)350W工控電源+1個(gè)400w冗余電源功耗230W230W簽名能力1600次/秒3000次/秒驗(yàn)簽?zāi)芰?000次/秒8000次/秒運(yùn)行環(huán)境Windowsserver;Linux；aix；Solaris；UnixWindowsserver;Linux；aix；Solaris；Unix支持應(yīng)用接口Java、COM、CJava、COM、C支持算法標(biāo)準(zhǔn)3DES、AES、RSA3DES、AES、RSA工作溫度0°C0°C工作濕度5%--95%RH，不凝結(jié)5%--95%RH，不凝結(jié)產(chǎn)品優(yōu)勢(shì)合法性：采用權(quán)威第三方認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書，符合《電子簽名法》高性能、高可用性：高端型號(hào)簽名能力≥3000次/秒，驗(yàn)簽?zāi)芰Α?000次/秒；DSVS支持雙機(jī)并行，可大幅度提高簽名效率；簡單易用：DSVS所有管理操作均采用Web方式，操作簡單方便；具備備份和恢復(fù)功能，保證系統(tǒng)癱瘓后能夠快速恢復(fù)；強(qiáng)大的應(yīng)用支撐：面向應(yīng)用系統(tǒng)提供C開發(fā)API，COM開發(fā)API，Java開發(fā)API等主流開發(fā)API，方便開發(fā)者調(diào)用；支持原文數(shù)據(jù)簽名、文件簽名、哈希后簽名及PKCS#7、XML簽名等多種格式的數(shù)字簽名及驗(yàn)證；產(chǎn)品資質(zhì)公安部信息安全產(chǎn)品檢測(cè)中心出具的檢測(cè)報(bào)告公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局出具的銷售許可證中華人民共和國國家版權(quán)局出具的計(jì)算機(jī)軟件著作權(quán)登記證應(yīng)用領(lǐng)域DSVS具有廣泛的應(yīng)用領(lǐng)域，適用于網(wǎng)上辦公、網(wǎng)上審批、網(wǎng)上銀行、網(wǎng)上證券交易、網(wǎng)上醫(yī)療、網(wǎng)上購物、電子報(bào)關(guān)、電子報(bào)